Azure-resourcerollen toewijzen in Privileged Identity Management

Met Microsoft Entra Privileged Identity Management (PIM) kunt u de ingebouwde Azure-resourcerollen en aangepaste rollen beheren, waaronder (maar niet beperkt tot):

• Eigenaar
• Beheerder van gebruikerstoegang
• Donateur
• Beveiligingsbeheerder
• Beveiligingsmanager

Opmerking

Gebruikers of leden van een groep die is toegewezen aan de abonnementsrollen Eigenaar of Gebruikertoegangsbeheerder en Globale beheerders van Microsoft Entra die abonnementsbeheer in Microsoft Entra-id inschakelen, hebben standaard machtigingen voor resourcebeheerders. Deze beheerders kunnen rollen toewijzen, rolinstellingen configureren en toegang controleren met Privileged Identity Management voor Azure-resources. Een gebruiker kan Privileged Identity Management niet beheren voor resources zonder resourcebeheerdersmachtigingen. Bekijk de lijst met ingebouwde Azure-rollen.

Privileged Identity Management ondersteunt zowel ingebouwde als aangepaste Azure-rollen. Zie Aangepaste Azure-rollen voor meer informatie over aangepaste Azure-rollen.

Voorwaarden voor roltoewijzing

U kunt het op kenmerken gebaseerde toegangsbeheer van Azure (Azure ABAC) gebruiken om voorwaarden toe te voegen voor in aanmerking komende roltoewijzingen met behulp van Microsoft Entra PIM voor Azure-resources. Met Microsoft Entra PIM moeten uw eindgebruikers een in aanmerking komende roltoewijzing activeren om toestemming te krijgen voor het uitvoeren van bepaalde acties. Door voorwaarden in Microsoft Entra PIM te gebruiken, kunt u niet alleen de rolmachtigingen van een gebruiker beperken tot een resource met behulp van verfijnde voorwaarden, maar ook Microsoft Entra PIM gebruiken om de roltoewijzing te beveiligen met een tijdsgebonden instelling, goedkeuringswerkstroom, audittrail, enzovoort.

Opmerking

Wanneer een rol wordt toegewezen, wordt de toewijzing:

• Kan niet worden toegewezen voor een duur van minder dan vijf minuten
• Kan niet worden verwijderd binnen vijf minuten nadat deze is toegewezen

Op dit moment kunnen aan de volgende ingebouwde rollen voorwaarden worden toegevoegd:

• Inzender voor opslagblobgegevens
• Eigenaar van opslagblobgegevens
• Storage Blob-gegevenslezer

Zie Wat is op kenmerken gebaseerd toegangsbeheer van Azure (Azure ABAC) voor meer informatie.

Een rol toewijzen

Volg deze stappen om ervoor te zorgen dat een gebruiker in aanmerking komt voor een Azure-resourcerol.

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een beheerder voor gebruikerstoegang.

2. Blader naar ID Governance>Privileged Identity Management>Azure resources.

3. Selecteer het resourcetype dat u wilt beheren. Begin bij de vervolgkeuzelijst Beheergroep of in de vervolgkeuzelijst Abonnementen en selecteer vervolgens indien nodig resourcegroepen of resources . Selecteer de knop Selecteren voor de resource die u wilt beheren om de overzichtspagina te openen.

   

4. Selecteer onder Beherende optie Rollen om de lijst met rollen voor Azure-resources weer te geven.

5. Selecteer Opdrachten toevoegen om het deelvenster Opdrachten toevoegen te openen.

   

6. Selecteer een rol die u wilt toewijzen.

7. Selecteer Geen lid geselecteerd koppeling om het deelvenster Lid of groep selecteren te openen.

   

8. Selecteer een lid of groep die u wilt toewijzen aan de rol en kies Selecteren.

   

9. Selecteer op het tabblad Instellingen in de lijst Toewijzingstypende optie In aanmerking komend of actief.

   

   Microsoft Entra PIM voor Azure-resources biedt twee verschillende toewijzingstypen:

   • Voor in aanmerking komende toewijzingen moet het lid de rol activeren voordat deze wordt gebruikt. Beheerder kan het rollid verplichten om bepaalde acties uit te voeren vóór de activering van rollen, waaronder het uitvoeren van een meervoudige verificatiecontrole (MFA), het verstrekken van een zakelijke reden of het aanvragen van goedkeuring van aangewezen goedkeurders.

   • Voor actieve toewijzingen is niet vereist dat het lid de rol activeert vóór gebruik. Leden die als actief zijn toegewezen, hebben de bevoegdheden die klaar zijn voor gebruik. Dit type toewijzing is ook beschikbaar voor klanten die microsoft Entra PIM niet gebruiken.

10. Als u een specifieke toewijzingsduur wilt opgeven, wijzigt u de begin- en einddatums en -tijden.

11. Als de rol is gedefinieerd met acties die toewijzingen aan die rol met voorwaarden toestaan, kunt u Voorwaarde toevoegen selecteren om een voorwaarde toe te voegen op basis van de principal-gebruikers- en resourcekenmerken die deel uitmaken van de toewijzing.

    

    Voorwaarden kunnen worden ingevoerd in de opbouwfunctie voor expressies.

    

12. Wanneer u klaar bent, selecteert u Toewijzen.

13. Nadat de nieuwe roltoewijzing is gemaakt, wordt er een statusmelding weergegeven.

    

Een rol toewijzen met behulp van de Azure Resource Manager-API

Privileged Identity Management biedt ondersteuning voor ARM-API-opdrachten (Azure Resource Manager) voor het beheren van Azure-resourcerollen, zoals beschreven in de NAslaginformatie over de PIM Azure Resource Manager-API. Zie De machtigingen die nodig zijn voor het gebruik van de PIM-API's in Begrip van de Privileged Identity Management-API's.

Het volgende voorbeeld is een HTTP-voorbeeldaanvraag voor het maken van een in aanmerking komende toewijzing voor een Azure-rol.

Aanvraag

PUT https://management.azure.com/providers/Microsoft.Subscription/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleEligibilityScheduleRequests/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e?api-version=2020-10-01-preview

Inhoud van het verzoek

{
  "properties": {
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
    "requestType": "AdminAssign",
    "scheduleInfo": {
      "startDateTime": "2022-07-05T21:00:00.91Z",
      "expiration": {
        "type": "AfterDuration",
        "endDateTime": null,
        "duration": "P365D"
      }
    },
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'",
    "conditionVersion": "1.0"
  }
}

Reactie

Statuscode: 201

{
  "properties": {
    "targetRoleEligibilityScheduleId": "b1477448-2cc6-4ceb-93b4-54a202a89413",
    "targetRoleEligibilityScheduleInstanceId": null,
    "scope": "/providers/Microsoft.Subscription/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
    "roleDefinitionId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "principalType": "User",
    "requestType": "AdminAssign",
    "status": "Provisioned",
    "approvalId": null,
    "scheduleInfo": {
      "startDateTime": "2022-07-05T21:00:00.91Z",
      "expiration": {
        "type": "AfterDuration",
        "endDateTime": null,
        "duration": "P365D"
      }
    },
    "ticketInfo": {
      "ticketNumber": null,
      "ticketSystem": null
    },
    "justification": null,
    "requestorId": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea",
    "createdOn": "2022-07-05T21:00:45.91Z",
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:ContainerName] StringEqualsIgnoreCase 'foo_storage_container'",
    "conditionVersion": "1.0",
    "expandedProperties": {
      "scope": {
        "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
        "displayName": "Pay-As-You-Go",
        "type": "subscription"
      },
      "roleDefinition": {
        "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
        "displayName": "Contributor",
        "type": "BuiltInRole"
      },
      "principal": {
        "id": "a3bb8764-cb92-4276-9d2a-ca1e895e55ea",
        "displayName": "User Account",
        "email": "user@my-tenant.com",
        "type": "User"
      }
    }
  },
  "name": "64caffb6-55c0-4deb-a585-68e948ea1ad6",
  "id": "/providers/Microsoft.Subscription/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/RoleEligibilityScheduleRequests64caffb6-55c0-4deb-a585-68e948ea1ad6",
  "type": "Microsoft.Authorization/RoleEligibilityScheduleRequests"
}

Een bestaande roltoewijzing bijwerken of verwijderen

Volg deze stappen om een bestaande roltoewijzing bij te werken of te verwijderen.

1. Open Microsoft Entra Privileged Identity Management.

2. Selecteer Azure-resources.

3. Selecteer het resourcetype dat u wilt beheren. Begin bij de vervolgkeuzelijst Beheergroep of in de vervolgkeuzelijst Abonnementen en selecteer vervolgens indien nodig resourcegroepen of resources . Selecteer de knop Selecteren voor de resource die u wilt beheren om de overzichtspagina te openen.

   

4. Selecteer onder Beherenrollen om de rollen voor Azure-resources weer te geven. In de volgende schermopname ziet u de rollen van een Azure Storage-account. Selecteer de rol die u wilt bijwerken of verwijderen.

   

5. Zoek de roltoewijzing op de tabbladen In aanmerking komende rollen of Actieve rollen .

   

6. Als u een voorwaarde wilt toevoegen of bijwerken om de toegang tot Azure-resources te verfijnen, selecteert u Toevoegen of Weergeven/Bewerken in de kolom Voorwaarde voor de roltoewijzing.

7. Selecteer Expressie toevoegen of Verwijderen om de expressie bij te werken. U kunt ook Voorwaarde toevoegen selecteren om een nieuwe voorwaarde aan uw rol toe te voegen.

   

   Zie Azure-resourcerollen uitbreiden of vernieuwen in Privileged Identity Management voor meer informatie over het uitbreiden van een roltoewijzing.

Volgende stappen

• Azure-resourcerolinstellingen configureren in Privileged Identity Management
• Microsoft Entra-rollen toewijzen in Privileged Identity Management